Mã độc tống tiền lừa chiếm quyền quản trị thiết bị Android

•  Ransomware và các mối đe dọa trên WordPress gia tăng
•  Mã độc mã hoá dữ liệu & tống tiền
•  Phát hiện trojan tống tiền thế hệ mới
• 10 năm phát triển của mã độc tống tiền
• An ninh mạng: Nguy cơ nhiều, thiếu người làm

Hình thức kẻ tấn công tiêm nhiễm mã độc vào thiết bị, sau đó mã hóa dữ liệu của người dùng rồi đòi tiền chuộc  - thường gọi ransomware, đã phổ biến nhưng đang có bước tiến mới tinh vi hơn trong cách thức tấn công người dùng Android.

Theo phát hiện của các chuyên gia bảo mật Symantec, vừa xuất hiện một ứng dụng ransomware sử dụng kỹ thuật clickjacking để lừa người dùng gán cho nó quyền quản trị thiết bị Android.

Clickjacking là một thủ pháp liên quan đến giao diện người sử dụng (UI), theo đó cho phép những kẻ tấn công đánh cắp những cú nhấp chuột (click) của người dùng và thực hiện các hành vi trái phép.

Kỹ thuật này thường được sử dụng trong các cuộc tấn công dựa trên Web, bởi nhiều kỹ thuật cho phép tạo ra các nút (button) vô hình và đặt chúng nằm ngay phía trên các thành phần của trang web. 

Nhiều người dùng thiết bị Android gần đây bỗng nhiên thấy một cửa sổ nhấp nháy liên tục trên màn hình cùng cảnh báo đe dọa họ phải nộp phạt một khoản tiền. Hầu hết trong số đó mạo danh cơ quan thực thi pháp luật và tuyên bố rõ thiết bị đã bị khóa vì bị phát hiện có chứa nội dung bất hợp pháp.

Android đang là mồi ngon cho giới hacker tống tiền như chúng đã từng nhắm tới người dùng máy tính chạy Windows trước đây.

Những kẻ tấn công còn đi xa hơn khi mã hóa dữ liệu chứa trên thiết bị, rất khó để khôi phục lại nguyên trạng. Tất nhiên, để làm được điều đó chúng cần có được quyền truy cập mức quản trị thiết bị.

Việc kích hoạt tính năng này đòi hỏi chủ nhân thiết bị phải xác nhận qua hộp thoại “activate device administrator” hiện lên sau khi một ứng dụng cài đặt thành công.

Để lừa người dùng chấp thuận gán quyền quản trị (administrator), hầu hết ứng dụng ransomware (thường giảo mạo như là ứng dụng hợp pháp) dùng thủ pháp tâm lý lừa kiểu phi kỹ thuật (social engineering).

Chẳng hạn, người dùng bị “dụ” cấp quyền truy cập cao hơn cho ứng dụng để có thêm những tính năng cao cấp.

Theo các chuyên gia bảo mật Symantec, những kẻ tạo ra ransomware hiện đã tiến lên một cấp độ mới, lừa tinh vi hơn. Trong một bài viết đăng trên blog hôm 28/1, họ cho biết mới xuất hiện một mối đe dọa, mang tên Android.Lockdroid.E, lợi dụng các dạng cửa sổ khác nhau mà ứng dụng Android có thể kích hoạt.

Sau khi đã cài đặt, mã độc ransomware Lockdroid.E kích hoạt hộp thoại “device administrator activation”, và mở cửa sổ TYPE_SYSTEM_ERROR với thông báo rằng một thành phần bổ sung đã được giải nén. Android hiển thị cửa sổ kiểu đặc biệt này nằm trên tất cả các thông tin khác, do đó sẽ che khuất hộp thoại Device Administrator.

Sau vài giây, ứng dụng sẽ hiển thị một cửa sổ khác sử dụng TYPE_SYSTEM_OVERLAY và nó cũng che khuất hộp thoại Device Administrator. Cửa sổ thứ hai này chứa thông điệp “Installation is complete” và một nút “Continue”.

Nút “Continue” thực ra là nút giả vì cửa sổ TYPE_SYSTEM_OVERLAY không được thiết kế để nhận thông tin nạp vào giao diện người dùng bằng cách nhấn trên màn hình. Tuy nhiên, nó nằm đè lên nút “Confirm” của hộp thoại kích hoạt Device Administrator ẩn.

Chính vì vậy, khi người dùng nhấn “Continue” đồng nghĩa với thao tác chạm nút “Confirm” nằm trên cửa sổ Device Administrator phía dưới.

Với những phiên bản từ Android 5.0 (Lollipop) trở về sau, mã độc ransomware không áp dụng được “chiêu” lừa này. Tuy nhiên, tin xấu là hai phần ba thiết bị Android vẫn còn chạy những phiên cũ hơn 5.0, theo thống kê mới nhất từ Google Play.

“Các ứng dụng độc hại không được tìm thấy trên Google Play và có lẽ được tải về từ các kho ứng dụng của bên thứ ba, các diễn đàn, hoặc qua mạng chia sẻ ngang hàng Torrent ”, các chuyên gia bảo mật Symantec cho biết.

“Người dùng đã cài Google Play được bảo vệ tránh được ứng dụng này bằng Verify Apps kể cả khi tải về từ nơi không phải Google Play. Symantec khuyến cáo người dùng chỉ nên tải ứng dụng từ các kho ứng dụng đáng tin cậy”.